Control de acceso con IAM

En esta página, se describen las opciones de control de acceso en Cloud Data Fusion.

Puedes controlar el acceso a los recursos en Cloud Data Fusion de las siguientes maneras:

  • Para controlar el acceso a las operaciones del plano de control, como la creación y actualización de instancias a través de la consola de Google Cloud, Google Cloud CLI y la API de REST, usa la administración de identidades y accesos (IAM), como se describe en esta página.

  • Para otorgar acceso a Google Cloud servicios de datos, como BigQuery o Cloud Storage, a una cuenta de servicio en la que se ejecutan canalización, usa IAM.

  • Para controlar los permisos detallados de las acciones que se realizan en la instancia, conocidas como operaciones de plano de datos, como iniciar canalizaciones, usa el control de acceso basado en roles (RBAC).

Para obtener información sobre la arquitectura y los recursos involucrados en el control de acceso de Cloud Data Fusion, consulta Herramientas de redes. Para obtener información sobre cómo otorgar roles y permisos, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Información acerca de la IAM en Cloud Data Fusion

Para controlar el acceso a las funciones de Cloud Data Fusion, otorga roles y permisos de IAM a las cuentas de servicio y a otros principales en tu proyecto de Google Cloud.

Para otorgar acceso detallado a las cuentas de usuario de modo que puedan usar la interfaz web de Cloud Data Fusion, usa el RBAC.

De forma predeterminada, Cloud Data Fusion usa las siguientes cuentas de servicio:

Cuenta de servicio de Cloud Data Fusion

La cuenta de servicio de Cloud Data Fusion es un agente de servicio administrado por Google que puede acceder a los recursos del cliente en el momento del diseño de la canalización. Este agente de servicio se agrega automáticamente a un proyecto cuando habilitas la API de Cloud Data Fusion. Se usa para todas las instancias de tu proyecto.

El agente de servicio tiene las siguientes responsabilidades:

  • Comunicarse con otros servicios, como Cloud Storage, BigQuery o Datastream durante el diseño de la canalización

  • Habilita la ejecución a través del aprovisionamiento de clústeres de Dataproc y el envío de trabajos de canalización.

Roles de la cuenta de servicio de Cloud Data Fusion

De forma predeterminada, la cuenta de servicio de Cloud Data Fusion solo tiene el rol de Agente de servicios de la API de Cloud Data Fusion (roles/datafusion.serviceAgent).

El nombre principal de este agente de servicio es service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com.

Los siguientes recursos predeterminados están asociados con el rol Agente de servicio de la API de Cloud Data Fusion.

Rol Recurso Permisos
Agente de servicios de la API de Cloud Data Fusion Servicios asociados:
  • BigQuery
  • Bigtable
  • Compute Engine
  • Dataproc
  • Cloud DNS
  • Firebase
  • Cloud Monitoring
  • Conectividad de red
  • Integración de seguridad de redes
  • API de servicios de red
  • Política de la organización
  • API de recomendador
  • API de Cloud Resource Manager
  • Service Networking
  • Service Usage
  • Spanner
  • Cloud Storage
  • Cloud Service Mesh
Consulta los permisos del Agente de servicio de la API de Cloud Data Fusion.

Cuenta de servicio predeterminada o personalizada de Compute Engine

La cuenta de servicio de Compute Engine es la cuenta predeterminada que usa Cloud Data Fusion para implementar y ejecutar trabajos que acceden a otros recursos deGoogle Cloud . De forma predeterminada, se adjunta a una VM de clúster de Dataproc para permitir que Cloud Data Fusion acceda a los recursos de Dataproc durante la ejecución de una canalización.

Puedes elegir una cuenta de servicio personalizada para adjuntar al clúster de Dataproc cuando creas una instancia de Cloud Data Fusion o cuando creas perfiles de procesamiento nuevos en la interfaz web de Cloud Data Fusion.

Para obtener más información, consulta Cuentas de servicio en Cloud Data Fusion.

Roles de la cuenta de servicio de Compute Engine

De forma predeterminada, para acceder a los recursos (como fuentes y destinos) cuando ejecutas una canalización, Cloud Data Fusion usa la cuenta de servicio predeterminada de Compute Engine.

Puedes configurar una cuenta de servicio personalizada administrada por el usuario para las instancias de Cloud Data Fusion y otorgarle un rol a esta cuenta. Luego, puedes elegir esta cuenta de servicio cuando crees instancias nuevas.

Rol de ejecutor de Cloud Data Fusion

En el proyecto que contiene la instancia de Cloud Data Fusion, otorga el rol de ejecutor de Cloud Data Fusion (datafusion.runner) a las cuentas de servicio personalizadas predeterminadas y administradas por el usuario.

Rol Descripción Permiso
Ejecutor de Data Fusion (datafusion.runner) Permite que la cuenta de servicio de Compute Engine se comunique con los servicios de Cloud Data Fusion en el proyecto de usuario. datafusion.instances.runtime

Función de usuario de cuenta de servicio

En la cuenta de servicio predeterminada o administrada por el usuario en el proyecto en el que se inician los clústeres de Dataproc cuando ejecutas canalizaciones, otorga a la cuenta de servicio de Cloud Data Fusion el rol de usuario de cuenta de servicio (roles/iam.serviceAccountUser).

Para obtener más información, consulta Otorga permiso a la cuenta de servicio.

Rol de trabajador de Dataproc

Para ejecutar los trabajos en clústeres de Dataproc, otorga el rol de trabajador de Dataproc (roles/dataproc.worker) a las cuentas de servicio predeterminadas o administradas por el usuario que usan tus canalizaciones de Cloud Data Fusion.

Roles de los usuarios

Para activar cualquier operación en Cloud Data Fusion, tú (el principal) debes tener suficientes permisos. Los permisos individuales se agrupan en roles, y tú otorgas roles a ese principal.

Si no está habilitado el RBAC o si usas una edición de Cloud Data Fusion que no es compatible con este, los usuarios con cualquier rol de IAM de Cloud Data Fusion tienen acceso completo a la interfaz web de Cloud Data Fusion. El rol de administrador solo permite a los usuarios administrar la instancia, como las operaciones Create, Update, Upgrade y Delete.

Otorga los siguientes roles a los principales, según los permisos que necesiten en Cloud Data Fusion.

Rol Descripción Permisos
Administrador de Cloud Data Fusion (roles/datafusion.admin) Todos los permisos de visualizador, además de los permisos para crear, actualizar y borrar instancias de Cloud Data Fusion.
  • datafusion.instances.get
  • datafusion.instances.list
  • datafusion.instances.create
  • datafusion.instances.delete
  • datafusion.instances.update
  • datafusion.operations.get
  • datafusion.operations.list
  • datafusion.operations.cancel
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Visualizador de Cloud Data Fusion (roles/datafusion.viewer)
  • Puede ver las instancias de Cloud Data Fusion del proyecto en la consola de Google Cloud.
  • No puede crear, actualizar ni borrar instancias de Cloud Data Fusion.
  • datafusion.instances.get
  • datafusion.instances.list
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Accede a los recursos de otro proyecto en el tiempo de diseño

En esta sección, se describe el control de acceso a los recursos que se encuentran en un proyecto de Google Cloud diferente al de tu instancia de Cloud Data Fusion en el momento del diseño.

Cuando diseñas canalizaciones en la interfaz web de Cloud Data Fusion, puedes usar funciones, como Wrangler o Preview, que acceden a recursos en otros proyectos.

En las siguientes secciones, se describe cómo determinar la cuenta de servicio en tu entorno y, luego, otorgar los permisos adecuados.

Determina la cuenta de servicio de tu entorno

El nombre de la cuenta de servicio es Cloud Data Fusion Service Account y el principal de este agente de servicio es service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com.

Otorga permiso para acceder a los recursos de otro proyecto

Para otorgar los roles que otorgan permiso para acceder a varios recursos, sigue estos pasos:

  1. En el proyecto en el que existe el recurso de destino, agrega la cuenta de servicio de Cloud Data Fusion (service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com) como principal.
  2. Otorga roles a la cuenta de servicio de Cloud Data Fusion en el recurso de destino del proyecto en el que existe el recurso de destino.

Después de otorgar los roles, puedes acceder a los recursos de un proyecto diferente en el tiempo de diseño de la misma manera que accedes a los recursos del proyecto en el que se encuentra tu instancia.

Accede a los recursos de otro proyecto en el momento de la ejecución

En esta sección, se describe el control de acceso a los recursos que se encuentran en un proyecto de Google Cloud diferente al de tu instancia de Cloud Data Fusion en el momento de la ejecución.

En el momento de la ejecución, ejecutas la canalización en un clúster de Dataproc, que puede acceder a recursos en otros proyectos. De forma predeterminada, el clúster de Dataproc se inicia en el mismo proyecto que la instancia de Cloud Data Fusion, pero puedes usar clústeres en otro proyecto.

Para acceder a los recursos de otros proyectos de Google Cloud , sigue estos pasos:

  1. Determina la cuenta de servicio de tu proyecto.
  2. En el proyecto en el que se encuentra el recurso, otorga roles de IAM a la cuenta de servicio predeterminada de Compute Engine para darle acceso a recursos en otro proyecto.

Determina la cuenta de servicio de Compute Engine

Para obtener más información sobre la cuenta de servicio de Compute Engine, consulta Acerca de IAM en Cloud Data Fusion.

Otorga recursos de acceso de IAM en otro proyecto

La cuenta de servicio predeterminada de Compute Engine requiere permisos para acceder a los recursos de otro proyecto. Estos roles y permisos pueden ser diferentes según el recurso al que quieras acceder.

Para acceder a los recursos, sigue estos pasos:

  1. Otorga roles y permisos, y especifica tu cuenta de servicio de Compute Engine como principal en el proyecto en el que existe el recurso de destino.
  2. Agrega los roles adecuados para acceder al recurso.

Permisos de la API de Cloud Data Fusion

Los siguientes permisos son necesarios para ejecutar la API de Cloud Data Fusion.

Llamada a la API Permiso
instances.create datafusion.instances.create
instances.delete datafusion.instances.delete
instances.list datafusion.instances.list
instances.get datafusion.instances.get
instances.update datafusion.instances.update
operations.cancel datafusion.operations.cancel
operations.list datafusion.operations.list
operations.get datafusion.operations.get

Permisos para tareas comunes

Las tareas comunes en Cloud Data Fusion requieren los siguientes permisos:

Tarea Permisos
Accede a la interfaz web de Cloud Data Fusion datafusion.instances.get
Acceder a la página Instancias de Cloud Data Fusion en la consola de Google Cloud datafusion.instances.list
Acceder a la página Detalles de una instancia datafusion.instances.get
Crea una instancia nueva datafusion.instances.create
Actualizar etiquetas y opciones avanzadas para personalizar una instancia datafusion.instances.update
Borra una instancia datafusion.instances.delete

¿Qué sigue?